Guía de inicio rápido: Usa una herramienta de línea de comandos

En esta página, se muestra cómo realizar tareas básicas en la API de Cloud Data Loss Prevention con una interfaz de línea de comandos. En particular, en esta guía de inicio rápido, se explica cómo enviar una string corta a la API de DLP para su inspección.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

  4. Habilita la API DLP.

    Habilita la API

  5. Crea una cuenta de servicio:

    1. En Cloud Console, ve a la página Crear cuenta de servicio.

      Ir a Crear cuenta de servicio
    2. Selecciona un proyecto
    3. Ingresa un nombre en el campo Nombre de cuenta de servicio. Cloud Console completa el campo ID de cuenta de servicio según este nombre.

      Opcional: en el campo Descripción de la cuenta de servicio, ingresa una descripción. Por ejemplo, Service account for quickstart.

    4. Haz clic en Crear y continuar.
    5. Haz clic en el campo Seleccionar una función.

      En Acceso rápido, haz clic en Básico y, luego, en Propietario.

    6. Haga clic en Continuar.
    7. Haz clic en Listo para terminar de crear la cuenta de servicio.

      No cierres la ventana del navegador. La usarás en la próxima tarea.

  6. Para crear una clave de cuenta de servicio, haz lo siguiente:

    1. En Cloud Console, haz clic en la dirección de correo electrónico de la cuenta de servicio que creaste.
    2. Haga clic en Claves.
    3. Haz clic en Agregar clave, luego haz clic en Crear clave nueva.
    4. Haga clic en Crear. Se descargará un archivo de claves JSON en tu computadora.
    5. Haga clic en Cerrar.
  7. Configura la variable de entorno GOOGLE_APPLICATION_CREDENTIALS en la ruta del archivo JSON que contiene la clave de tu cuenta de servicio. Esta variable solo se aplica a la sesión actual de shell. Por lo tanto, si abres una sesión nueva, deberás volver a configurar la variable.

  8. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  9. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

  10. Habilita la API DLP.

    Habilita la API

  11. Crea una cuenta de servicio:

    1. En Cloud Console, ve a la página Crear cuenta de servicio.

      Ir a Crear cuenta de servicio
    2. Selecciona un proyecto
    3. Ingresa un nombre en el campo Nombre de cuenta de servicio. Cloud Console completa el campo ID de cuenta de servicio según este nombre.

      Opcional: en el campo Descripción de la cuenta de servicio, ingresa una descripción. Por ejemplo, Service account for quickstart.

    4. Haz clic en Crear y continuar.
    5. Haz clic en el campo Seleccionar una función.

      En Acceso rápido, haz clic en Básico y, luego, en Propietario.

    6. Haga clic en Continuar.
    7. Haz clic en Listo para terminar de crear la cuenta de servicio.

      No cierres la ventana del navegador. La usarás en la próxima tarea.

  12. Para crear una clave de cuenta de servicio, haz lo siguiente:

    1. En Cloud Console, haz clic en la dirección de correo electrónico de la cuenta de servicio que creaste.
    2. Haga clic en Claves.
    3. Haz clic en Agregar clave, luego haz clic en Crear clave nueva.
    4. Haga clic en Crear. Se descargará un archivo de claves JSON en tu computadora.
    5. Haga clic en Cerrar.
  13. Configura la variable de entorno GOOGLE_APPLICATION_CREDENTIALS en la ruta del archivo JSON que contiene la clave de tu cuenta de servicio. Esta variable solo se aplica a la sesión actual de shell. Por lo tanto, si abres una sesión nueva, deberás volver a configurar la variable.

Permisos

La inspección de contenido requiere el permiso serviceusage.services.use para el proyecto que se especifica en parent. Las funciones roles/editor, roles/owner y roles.dlp.user contienen el permiso requerido. También puedes definir tu propia función personalizada.

Para otorgar a tu usuario la función dlp.user a nivel de proyecto, sigue estos pasos:

Console

  1. Abre la página de IAM en Google Cloud Console.

    Ir a IAM

  2. Si aún no se seleccionó un proyecto, haz clic en el selector de proyecto y, luego, selecciona tu proyecto.

  3. En la página de IAM, sigue estos pasos:

    • Para agregar un usuario nuevo, haz clic en Agregar .
    • Para agregar la función dlp.user a un usuario existente, haz clic en Editar principal para ese usuario y, luego, haz clic en Agregar otra función en el Panel de edición de permisos.

  4. En el panel Agregar principales, sigue estos pasos:

    • En el campo Nuevos principales, escribe la dirección de correo electrónico del usuario que agregas, por ejemplo, test@example.com.
    • En Funciones, haz clic en Seleccionar una función y elige Cloud DLP > Usuario de DLP.

  5. Haga clic en Agregar.

Para obtener más información, consulta Otorga una función de IAM.

gcloud

  1. Para agregar una vinculación única a la política de IAM del proyecto, escribe el siguiente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID --member serviceAccount:SERVICE_ID --role roles/dlp.user

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el ID del proyecto.
    • SERVICE_ID: Es la cuenta de servicio que se usará.
  2. Escribe la política actualizada en la ventana de la consola:

    bindings:
    - members:
      - group: EMAIL_ADDRESS
        role: roles/dlp.user
    

    Reemplaza EMAIL_ADDRESS por la dirección de correo electrónico del usuario que quieres agregar.

Configura una app de CLI en Cloud DLP

Node.js

  1. Descargar Node.js y NPM para instalar.

  2. Clona o descarga un archivo ZIP de la biblioteca cliente de DLP de Node.js y, luego, expande el archivo descargado.

  3. Abre una herramienta de línea de comandos y navega hasta el directorio samples dentro del directorio expandido.

  4. Para instalar las dependencias de la app, ejecuta npm install mientras estás en el directorio samples.

  5. Si aún no lo hiciste, crea la variable de entorno GCLOUD_PROJECT y establécela en el ID del proyecto de Google Cloud que configuraste para usar. con Cloud DLP:

gcloud alpha dlp

  1. Instala e inicializa el SDK de Cloud.

    Este procedimiento también requiere el componente Comandos Alfa de gcloud. Puedes instalarlo ahora o instalarlo más tarde cuando se te solicite.

  2. Activa la cuenta de servicio:

    gcloud auth activate-service-account SERVICE_ACCOUNT \\
     --key-file=PATH_TO_SERVICE_ACCOUNT_KEY

    Reemplaza lo siguiente:

    • SERVICE_ACCOUNT: El ID de la cuenta de servicio.
    • PATH_TO_SERVICE_ACCOUNT_KEY: La ruta al archivo JSON que contiene la clave privada de tu cuenta de servicio. Este es el archivo JSON que descargaste cuando configuraste la autenticación en la sección Antes de comenzar.

Inspecciona una string en busca de información sensible

En esta sección, se muestra cómo usar la API de DLP para analizar texto de muestra.

Node.js

En este ejemplo, se usa la secuencia de comandos inspectString de Node.js. Si aún no lo hiciste, abre una herramienta de línea de comandos. Navega a la carpeta samples del repositorio de muestras de Node.js que descargaste y expandiste en la sección anterior.

Ejecuta el siguiente comando:

node inspectString.js PROJECT_ID "My email address is joe@example.com."

Reemplaza PROJECT_ID por el ID del proyecto.

Recibirá la siguiente salida:

Findings:
  Quote: joe@example.com
  Info type: EMAIL_ADDRESS
  Likelihood: LIKELY

gcloud alpha dlp

En este ejemplo, se usa el comando gcloud alpha dlp text inspect. Si aún no lo hiciste, abre una herramienta de línea de comandos.

Ejecuta el siguiente comando:

gcloud alpha dlp text inspect --project="PROJECT_ID" \
--content="My email address is joe@example.com." \
--include-quote --info-types="EMAIL_ADDRESS"

Reemplaza PROJECT_ID por el ID del proyecto.

Si aún no instalaste el componente gcloud Alpha Commands, el sistema te preguntará si deseas instalarlo primero. Para continuar, presiona Y.

Recibirá la siguiente salida:

result:
findings:
- createTime: '2021-02-26T19:31:28.051Z'
  findingId: 2021-02-26T19:31:28.054696Z5687834655654299045
  infoType:
    name: EMAIL_ADDRESS
  likelihood: LIKELY
  location:
    byteRange:
      end: '35'
      start: '20'
    codepointRange:
      end: '35'
      start: '20'
  quote: joe@example.com

Acabas de enviar tu primera solicitud a la API de DLP.

¿Qué sigue?